Les jouets connectés CloudPets : une porte ouverte aux pirates via MongoDB
800 000 comptes utilisateurs piratés
La mise en œuvre des bases de données continue de susciter des débats, tant il y a eu d’épisodes à retentissement autour d’elle. Si l’on allie à celle-ci, les réalités de l’internet des objets (IdO) avec les avantages, mais surtout les dangers, on obtient assurément un mélange détonnant, un scoop. Le constructeur américain de jouets connectés CloudPets nous en offre un ce matin, un énorme scandale au centre duquel il se trouve : une importante fuite de données par le biais de son ours connecté lié à une base de données MongoDB.
Les colonnes de l’IBTimes UK font état ce matin de 800 000 comptes utilisateurs piratés. À cela s'ajoutent près de 2 millions d’enregistrements vocaux (supposés être en sécurité dans les serveurs de l’entreprise CloudPets) exposés, aux mains de hackers. Le phénomène n’est pourtant pas nouveau, on sait déjà que des pirates peuvent faire intrusion dans une base de données non sécurisée, en copier le contenu, l’effacer et retourner les données aux propriétaires contre rançon via le réseau Bitcoin. On sait aussi que le déploiement d’une base de données qu’elle soit relationnelle ou d’un autre type (c’est le cas de MongoDB) relève essentiellement de la responsabilité de l’administrateur qui doit veiller à parfaire les configurations pour endiguer les intrusions.
Revenons au cas CloudPets pour signaler que le chercheur en sécurité Troy Hunt a fait à ce sujet deux révélations : l’une soulignant le fait que CloudPets a laissé sa base de données libre d’accès et l’autre, qu’un tiers avait essayé de les contacter par trois fois pour les prévenir de cette faille dans leur système, cela, sans jamais avoir de réponse.
CloudPets n’a pour sa part pas encore confirmé les informations relatives à cette intrusion. Ce qui pose quand même un problème d’éthique. Ne dit-on pas que « les gens commettent des erreurs, mais c’est la façon dont ils réagissent qui détermine qui ils sont » ?
Source : IBTimes UK, Troy Hunt
Et vous ?
Qu'en pensez-vous ? Simple maladresse ou acte prémédité ?
Avez-vous déjà ou comptez-vous acheter un de ces jouets pour votre enfant ?
Voir aussi :
Internet des Objets et respect de la vie privée peuvent-ils aller de pair ? Eve Maler livre son analyse de la question
Plus de 2000 instances MongoDB prises en otage dans l'attente du paiement d'une rançon, les administrateurs invités à vérifier leurs configurations
Les instances MongoDB prises en otage sont passées de 12 000 à plus de 27 000 en moins de 12 heures, d'après un chercheur
Partager